کارشناسان امنیتی در یکی از ابزارهای پرکاربرد برنامهنویسی آسیبپذیری خطرناکی را کشف کردهاند که حدود 3 میلیون اپلیکیشن iOS و macOS را به خطر میاندازد و ممکن است هکرها برای حملات سایبری از آن استفاده کنند. این آسیبپذیری حدود 10 سال در ابزار متنباز CocoaPods وجود داشته است.
براساس گزارش EVA Information Security، آسیبپذیری کشفشده در ابزار CocoaPods میتواند مشکلات بزرگی برای طیف گستردهای از برنامههای iOS و MacOS ایجاد کند. به گفته محققان امنیتی، این مشکل میتواند هزاران اپ محبوب را تحتتأثیر قرار دهند؛ مانند نتفلیکس، اسنپچت، فیسبوک مسنجر، مایکروسافت تیم و تیکتاک.
ابزار مفید CocoaPods این امکان را به توسعهدهندگان میدهد تا کدهای شخص ثالث را از طریق کتابخانههای متنباز در برنامههایشان ادغام کنند. وقتی کتابخانهای بهروزرسانی میشود، برنامههایی که عضو آن هستند نیز خودکار آخرین بهروزرسانیها را دریافت میکنند.
طبق گفته محققان، حدود 3 میلیون اپلیکیشن iOS و macOS که با CocoaPods ساخته شدهاند، حدود 10 سال است که آسیبپذیر بودهاند. محققان کشف کردند که این آسیبپذیری میتواند راهی برای هکرها فراهم کند تا به دادههای حساس برنامه مانند جزئیات کارت اعتباری، سوابق پزشکی و مطالب خصوصی دسترسی پیدا کنند. این دادهها میتوانند برای اهداف مختلفی، مانند کلاهبرداری، باجخواهی و جاسوسی، استفاده شوند.
این آسیبپذیری در واقع نتیجه انتقال ناقص سرورهای CocoaPods در سال 2014 بود که هزاران بسته نرمافزاری را بهاصطلاح «یتیم» کرد (مالک آن بسته مشخص نیست.)؛ نکته اصلی این است که هنوز بسیاری از این بستهها بهطور گسترده در کتابخانههای این ابزار استفاده میشوند.
هکر میتواند با استفاده از API عمومی و آدرس ایمیل که در کد منبع CocoaPods موجود است، ادعای مالکیت هریک از این بستهها را بکند؛ سپس این امکان به مهاجم داده میشود که کد منبع اصلی را با کد مخرب خودش جایگزین کند. هرچند این باگها برطرف شدهاند، شدت این آسیبپذیری و مدت طولانی وجود آن در برنامهها باعث میشود بسیاری از اپها بهصورت بالقوه در معرض خطر قرار داشته باشند. توسعهدهندگان باید ضمن بهروزرسانی برنامههایشان، مطمئن شوند به اپهایشان رخنه نشده باشد. البته محققان میگویند هنوز هیچ مدرکی دال بر بهخطرافتادن برنامهها پیدا نکردهاند.